korjaava välityspalvelimen vapauttaminen , joka korjasi 5 haavoittuvuutta. Yksi haavoittuvuus (CVE-2019-12527) mahdollisesti järjestää koodin suorittamisen palvelinprosessin oikeuksilla.
Ongelma johtuu virheestä HTTP Basic -todennuskäsittelijässä, ja se mahdollistaa puskurin ylivuodon, kun siirretään erityisesti muotoiltuja tunnistetietoja käytettäessä Squid Cachea
Manager tai sisäänrakennettu FTP-yhdyskäytävä. Haavoittuvuus ilmestyy Squid 4.0.23:n julkaisusta alkaen. Kiertotapana haavoittuvuuden estämiseen voit rakentaa squidin uudelleen "--disable-auth-basic"-vaihtoehdolla tai estää pääsyn palveluihin, jotka käyttävät HTTP-todennusta määrityksessä:
acl FTP proto FTP
http_access estä FTP
http_pääsy kieltää johtaja
Muut kolme haavoittuvuutta voivat johtaa palvelun estoon, kun käsitellään cachemgr.cgi-, HTTP Digest- tai HTTP Basic -todennusta. Jäljellä oleva haavoittuvuus mahdollistaa sivustojen välisen komentosarjan suorittamisen cachemgr.cgi:n kautta.
Lähde: opennet.ru